Nazdar

Stalo tu niekomu už že mu neznámi srandista zmenil heslo na gúgli?
Mne sa to stalo napriek aktivovanej dvojstupňovej ochrane a to potvrdením na zariadení (android), zaslaním SMS a aj google authentifikátorom.
Najhoršie na tom je že keď posielam žiadosť o obnovu účtu neveria mi že ja som ja, a to som to skúšal na PC z práce 3x (mám tri PC z ktorých som sa predtým prihlasoval), na telefóne aj na data v práci aj z wifi doma a tak isto aj z PC doma.
Čudujem sa že neveria človeku ktorý sa tam prihlasoval x milion krát z im známich zariadení ale radšej uveria jednému prihláseniu kdesi z prdele.
Ako preverenie pri obnove vo folmulári mi ponúkli iba otázku kedy som si zakladal účet a staré heslo(heslo som zamozrejme vedel)...a to aj napriek nastavenej bezpečnostnej otázke a zapísanému tel. číslu na obnovu účtu....predpokladám že to týpek hneď odstránil.
Preto odporúčam si v gmaily ihneď pozrieť prvý mail, ktorý ste odoslali a dátum vzniku gmailu si niekde poznamenať.

Máte niekto nejakú radu?
Tipy k folmuráru som si na googli prečítal, nič nepomáha....

Ako sa ti dostali k druhému stupnu autorizácie?

SMS sa daju odchytit, pouzivat SMS zabezpecenie nieje bezpecne, ale IMO nikto by si nedaval namahu s obchadzanim SMS 2 faktoru.
Mne sa tiez niekto nedavno dostal na google ucet, ale cez 2 faktor sa nedostal... ja ale pouzivam Yubikey.

Takže je to vyriešené na presne trinásty pokus mi žiadosť o obnovovenie účtu prešla.
Začal som zisťovať čo sa udialo, a zistil som že to že má niekto druhý stupeň ešte neznamená že ho útočník musí prekonávať.
Ide o to že si treba z účtu a to čím skôr odstrániť:
Email na obnovenie
Tel č. na obnovenie
Alternatívny email
Útok na môj účet vyzeral takto nejak:
On, ona alebo to zachitilo moju emailovú komunikáciu (je to celkom eazy cez wifi).
Zistil že mi chodia emaily od googlu na pokec (nuž bolo to pred desiatimi rokmi keď som si to zakladal ) a správne predpokladal že to je zároveň môj alternatívny email alebo email na obnovenie účtu.
Získal prítup do pokecu....v zázname prihlásení vidno že tam chodil ako na klavír (sú tam IPčky pri logine):D
A teraz to zaujímavé:
Pri prihlasovaní sa do googelu postupne odmietal prihlásenia cez dvojstupňovú ochranu až kým sa nedostal k emailu na obnovenie...googel mu tam poslal link na obnovu hesla a bolo to.
Čiže sú to jasné backdoory ktoré si tam sami robíme.
Ešte rada ako odstrániť alternatívny email:
Účet google > Osobné informácie a súkromie > E-mail > Rozrolovať "rozšírené"
Odstránenie emailu a tel. č na obnovenie účtu:
Účet google > Prihlásenie do googlu

Tak snáď to niekomu pomôže...ocením ak sa k tomu vyjadrí aj nejaký odborník

A ako sa ti dostal na pokec?

Dimi3 odstranit recovery email neviem ci je najlepsie kedze potom ak sa nieco stane clovek sa zablokuje alebo podobne sa uz do uctu nemusi dostat vobec ...

ja by som to skor odporucal zmenit na iny ucet gmail

a pre tieto 2 ucty si pravidelne menit hesla a davat dostatocne silne hesla (male, velke pismena, znaky, specialne znaky)

ak clovek pouziva vsade rozne hesla a dava pozor ake otvara prilohy a pod tak riziko znizi tiez

samozrejme 100% bezpecnost asi nie je nikdy ale da sa k nej co najviac priblizit

V čom je bezpečné často meniť heslo, keď to heslo je unikátne a prihlasujem sa do mailu vždy z rovnakých zariadení ktoré mam pod kontrolou len ja?

mikioko napísal:V čom je bezpečné často meniť heslo, keď to heslo je unikátne a prihlasujem sa do mailu vždy z rovnakých zariadení ktoré mam pod kontrolou len ja?

Môže sa stať že heslá niekto "pozbiera" z únikov a uverejní na internet .. a kým sa dostanú k niekomu kto ich môže zneužiť ty už môžeš mať dávno zmenené heslo a tým pádom si v bezpečí. Ak som to teda správne pochopil

presne tak po nete koluju databazy s menami a heslami .... clovek si ich stiahne a moze skusat a ked pouzivas jedno a to iste heslo niekolko rokov tak je velka pravdepodobnost ze sa ti tam niekto moze dostat.

cize preto menit heslo aspon raz za rok napr dost pomoze

Tak tak, tu je asi najkomplexnejsia zbierka udajov o ukradnutych loginoch. Zadas tam svoju e-mailovu adresu a dozvies sa, ci uz niekde koluje spolu s nejakym heslom.
https://haveibeenpwned.com/
Nizsie je potom zoznam stranok z ktorych boli dane uniky a ked este stale pouizvas heslo, ktore si v tom case mal na niektorej z tych stranok, cim skor si ho zmen.

To je všetko pravda ale ja píšem o unikátnom hesle ktoré nikde inde nepouzivas plus dvojfaktorova autorizácia. Podľa mňa tam nemá zmysel pravidelne meniť heslo.

Moze uniknut aj db googlu a potom ti ani unikatne heslo nepomoze ...

ob3l1x napísal:Dimi3 odstranit recovery email neviem ci je najlepsie kedze potom ak sa nieco stane clovek sa zablokuje alebo podobne sa uz do uctu nemusi dostat vobec ...

ja by som to skor odporucal zmenit na iny ucet gmail

a pre tieto 2 ucty si pravidelne menit hesla a davat dostatocne silne hesla (male, velke pismena, znaky, specialne znaky)

ak clovek pouziva vsade rozne hesla a dava pozor ake otvara prilohy a pod tak riziko znizi tiez

samozrejme 100% bezpecnost asi nie je nikdy ale da sa k nej co najviac priblizit

Treba si uvedomiť dve veci.
1. Ten email je cesta dnu pre útočníka, ak má prístup k tomu mailu, dosť jednoduchá - bez akejkoľvek dvojstupňovej ochrany.
2. Keď sa tam už dostane a ty sa budeš pokúšať si účet obnoviť, žiadnu výzvu ani na recovery telefón ani na email ti posielať nebudú...riešil som to včera.

Jediné čo sa ma pýtali bolo kedy som zakladal účet a na konci je možnosť dať freestyle pokec kde im máš dať informácie, bez akejkoľvek nápovedi alebo otázok ktoré ich zaujímajú.
Ďalšia vec, treba rozmýšľať nad tým, čo by sa asi mohlo stať aby si ho ty reálne potreboval?
Zabudneš heslo?
-treba silné heslo, to ale neznamená že to musí byť nezmysel - dobrá vec je veta, ťažko sa to lúšti ako heslo pri analýze ukradnutých dát, býva tam veľa znakov a je to dobre zapamätateľné.
Stratíš telefón? - treba si vytlačiť tých 10 kódov a strčiť ich do šuflíka.
Naozaj, nerozmýšľajme nad tým ako sa doňho dostať keď zabudneme heslo alebo sa niečo stane, treba si pamätať heslo a mať zálohu v podobe kódov napríklad.
Nie je zlý nápad s tým že recovery mail bude na druhý účet a ten druhý účet bude zase recovery pre ten prvý a na oboch dvojfaktorová ochrana - ale ako som spomínal ak sa tam niekto logne namiesto teba ten mail z tade odstráni a ak aj nie tak to nikto od teba pýtať už po odcudzení nebude.
Čo sa týka sily hesla, tu je dosť dobrá vec:
https://www.grc.com/haystack.htm
Moje staré heslo na pokeci by tvralo prelomiť pri masívnom crackingu 0.00000321 sekúnd, nové 4.58 tisíc trilión trilión trilión trilión storočí

//autoeditácia príspevku (22 Nov 2018, 17:49)

baldorex napísal:A ako sa ti dostal na pokec?

Pre mňa nebolo ani tak zvláštne ako sa tam dostal, heslo bolo nič moc ale skôr ma zaujalo ako vedel že to je môj recovery email.
Volá sa to sociálne inžinierstvo....vysledoval si moje maily od Googlu ktoré boli smerované na Pokec.
Dostať sa dnu už potom bolo eazy...vravím, keď som videl tie logy....

Presne na to som narážal. Ty si si dal bezpečnostné dvere (gmail) a kľúč od nich si dal pod rohožku (pokec a slabé heslo).

IP adresy a prístupy na pokec pravidelne kontrolujem, odkedy mi ukradli fotky z albumu a urobili si fake profil .

baldorex napísal:Presne na to som narážal. Ty si si dal bezpečnostné dvere (gmail) a kľúč od nich si dal pod rohožku (pokec a slabé heslo).

LoL, krásna metafora ale máš pravdu

Pravidelna zmena hesla je IMO blbost (presnejsie zalezi na tom ako pravidelne myslite) a na overenie ci ste boli v nejakom uniku staci pouzivat https://haveibeenpwned.com
Rozhodne sa nedoporucuje aby systemy nutili uzivatelov pravidelne menit hesla pomocou expiracie...

Pokial pouzivas dobry password manager a vsade mas nahodne generovane unikatne hesla, takmer nic ti nehrozi.
Pokial pouzivas 15+ znakove heslo, tak ho nikto nedokaze zistit ani keby uniklo v DB zahashovane cez md5...

Rovnako sniffnut e-maily cez wi-fi by nemalo byt vobec jednoduche ak chodis na weby co pouzivaju TLS.

ob3l1x napísal:Moze uniknut aj db googlu a potom ti ani unikatne heslo nepomoze ...

každý normálny server si heslá v databázach hashuje
takže aj keď získaš všetky databázy tak sa heslo nedozvieš

ja mám na každú službu iný suffix v hesle takže všade je heslo unikátne

Heslo sa mozes dozvediet z hashu. Len to je casovo narocne a v realnom case dokazes zistit len kratke hesla. Takze vsetky kratke hesla si vedia zistit na poriadnom stroji za par hodin.
Samozrejme na kazdu databazu musia spustat nove crackovanie koli saltu. Ale podla mna sa stale najdu experti, ktory salt v hashi nepouzivaju.

Michaelo napísal:Rozhodne sa nedoporucuje aby systemy nutili uzivatelov pravidelne menit hesla pomocou expiracie...

Mne to hned prislo divne vo firme. Kazde 3 mesiace heslo expiruje a cau. Tipujem ze to je nariadenie od nemcurov (materska firma).

Michaelo napísal:Pokial pouzivas dobry password manager a vsade mas nahodne generovane unikatne hesla, takmer nic ti nehrozi.

Nejaky tip?

90 dní je best practice